Ylioppilastutkintorekisterin tietosuojaseloste

Uppdaterad

Lakiviitteet:

  • Laki ylioppilastutkinnosta (502/2019)
  • Laki valtakunnallisista opinto- ja tutkintorekistereistä (884/2017)
  • Laki viranomaisten toiminnan julkisuudesta (621/1999)
  • EU:n yleinen tietosuoja-asetus (GDPR2016/679)

1. REKISTERIN NIMI

Ylioppilastutkintorekisteri

2. REKISTERINPITÄJÄ

Ylioppilastutkintolautakunta

Hakaniemenranta 6, 00530 Helsinki

Puhelin (vaihde): 0295 338 200

Sähköposti: lautakunta@ylioppilastutkinto.fi

Tietosuojavastaava

Sähköposti: tietosuoja@oph.fi

Puhelin (vaihde): 029 533 1000

3. HENKILÖTIETOJEN KÄSITTELYN TARKOITUS JA OIKEUSPERUSTE

Ylioppilastutkintorekisteriä pidetään ja käytetään ylioppilastutkinnon järjestämistä, suoritettuja ylioppilastutkintoja ja tutkintoihin kuuluvia kokeita koskevien tietojen säilyttämistä sekä ylioppilastutkinnon toimivuuden seurantaa varten (L884/2017, 12 §). 

Henkilötietojen käsittelyn oikeusperuste on rekisterinpitäjän tarve lakisääteisen velvoitteen noudattamiseksi (GDPR2016/679, artikla 6 kohta 1 c). 

Lisäksi tietoja voidaan käyttää yleisen edun mukaisiin arkistointitarkoituksiin sekä tieteellisiin, historiallisiin ja tilastollisiin tarkoituksiin (GDPR2016/679, artikla 6 kohta 1 e).

Ylioppilastutkintolautakunnalla on merkittävää yleistä etua koskevasta syystä lainsäädännön nojalla oikeus käsitellä erityisien henkilötietoryhmien tietoa (GDPR2016/679, artikla 9 kohta 2 g), jotta

  • kokelas, joka on sairauden, vamman, lukemisen ja kirjoittamisen erityisvaikeuden, vieraskielisyyden taikka muun niihin rinnastettavan syyn vuoksi estynyt suorittamasta ylioppilastutkinnon kokeita samalla tavalla kuin muut kokelaat, voi suorittaa kokeen poikkeavasti (L502/2019, 9 §)
  • jos kokelaan koesuoritusta on heikentänyt sairaus, vamma tai muu niihin rinnastettava erityisen painava peruste, eikä erityisjärjestelyjen voida katsoa olevan riittäviä turvaamaan kokelaan edellytykset suorittaa koe yhtäläisesti muihin kokelaisiin nähden, Ylioppilastutkintolautakunta voi ottaa tämän arvostelussa huomioon (L502/2019, 18 §)
  • Ylioppilastutkintolautakunta voi kokelaan sairauden tai muun siihen rinnastettavan erityisen painavan syyn vuoksi hyväksyä määräajan päätyttyä tapahtuneen ilmoittautumisen (L502/2019, 8 §)
  • Ylioppilastutkintolautakunta voi hakemuksesta kokelaan sairauden, ulkomailla tapahtuvan opiskelun tai työskentelyn taikka muun niihin rinnastettavan erityisen painavan syyn vuoksi mitätöidä kokeeseen tehdyn ilmoittautumisen (L502/2019, 8 §)
  • Kokelas, joka on osallistunut vähintään yhteen tutkintokertaan ja sairastumisen, ulkomailla tapahtuvan päätoimisen opiskelun tai muun niihin rinnastettavan painavan syyn vuoksi on estynyt osallistumasta tutkintokerran kokeisiin, voi kuitenkin jatkaa tutkinnon suorittamista enimmäisajan päättymistä välittömästi seuraavana tutkintokertana. Jos kokelas on edellä tarkoitetun syyn vuoksi estynyt osallistumasta kahden peräkkäisen tutkintokerran kokeisiin, hän voi jatkaa tutkinnon suorittamista enimmäisajan päättymistä välittömästi seuraavina kahtena tutkintokertana (L 502/2019, 13 §).

4. REKISTERÖITYJEN RYHMÄT

  • Ylioppilastutkinnon kokelaat

5. TIETOJEN KÄSITTELIJÄT

  • Rehtorin nimeämät alustavaa arvostelua suorittavat opettajat ja ylioppilastutkinnon toimeenpanoon nimeämät henkilöt
  • Ylioppilastutkintolautakunnan sensorit ja virkamiehet
  • Rekisterin tekniset ylläpitäjät

Kaikki käsittelijät toimivat rekisterinpitäjän lukuun ja noudattavat salassapitoa.

6. REKISTERIN TIETOSISÄLTÖ

Rekisteriin tallennetaan laissa säädetyt tiedot (L 884/2017 14 §):

  • kokeisiin ilmoittautuneiden ja osallistuneiden nimi, henkilötunnus, oppijanumero, sukupuoli, äidinkieli sekä suoritettua ylioppilastutkintoon osallistumisen ja ylioppilastutkinnon myöntämisen edellyttämää koulutusta koskevat tiedot
  • tieto kokelaan maksuttomien kokeiden valinnasta, jos kokelas ilmoittautuu saman tutkintokerran aikana useaan kokeeseen siten, että lukumäärän perusteella kaikki kokeet eivät ole maksuttomia
  • koesuoritukset ja arvostelumerkinnät sekä kokelaiden saamat arvosanat ja pistemäärät eri kokeista
  • tutkinnon suorittamisen tai hylkäämisen, tutkinnon jälkeen uusittujen kokeiden sekä tutkinnon täydentämisen ajankohta.

Ylioppilastutkintorekisteriin voidaan tallentaa näiden tietojen lisäksi rekisterin käyttötarkoituksen kannalta tarpeellisia, kokelaskohtaisia tietoja ylioppilastutkinnosta sekä tutkinnon suorittamistavasta ja järjestämisestä. (L884/2017, 14 §)

Kokelaan koesuoritukset ovat salassa pidettäviä viranomaisen asiakirjoja. (L621/1999, 24 § 1 mom. kohta 30)

Paperimuodossa olevia koesuorituksia ei tallenneta ylioppilastutkintorekisteriin. (L884/2017, 32 § mom. 7)

Asiakirjat, joista ilmenee Ylioppilastutkintolautakunnan määräämien arvostelijoiden arvostelutehtäviä koskeva oppilaitoskohtainen työnjako, ovat salassa pidettäviä, kunnes on kulunut vuosi kyseisestä tutkintakerrasta. (L621/1999, 24 § 1 mom. kohta 30)

Ylioppilastutkinnon kokeita valvotaan teknisesti. Teknisen valvonnan myötä Ylioppilastutkintolautakunnalle syntyy tietoa kokelaan ja hänen tietokoneensa käyttäytymisestä kokeen suorittamisen aikana. Valvonnassa kerätään vain vilpin havaitsemiseen liittyviä tietoja. Teknisen valvonnan tiedot ovat salassa pidettäviä lain viranomaisten toiminnan julkisuudesta (621/1999) 11 § kohdan 1 ja 24 § kohdan 7 ja 30 perusteella.

Ylioppilastutkintorekisterin käytöstä syntyy lokitietoa sekä käyttäjähallintatietoa. Tietoja voidaan käyttää rekisterin käytön valvonnassa ja häiriötilanteiden selvittämisessä.

Ylioppilastutkintorekisterin tiedot säilytetään pysyvästi (L884/2017, 16 §). Tieto maksuttomien kokeiden valinnasta säilytetään kuitenkin viisi vuotta sen jälkeen, kun oppivelvollisuuslain (1214/2020) 16 §:ssä tarkoitettu oikeus maksuttomaan koulutukseen on päättynyt.

Tietoja voidaan poistaa, mikäli niiden ei katsota olevan rekisterin käyttötarkoituksen kannalta tarpeellisia.

7. SÄÄNNÖNMUKAISET TIETOLÄHTEET

Koulutuksen järjestäjän tulee pyynnöstä toimittaa Ylioppilastutkintolautakunnalle ylioppilastutkinnon järjestämisen ja toimeenpanon edellyttämät tiedot (L502/2019, 24 §). Ylioppilastutkintolautakunnan yleiset määräykset ja ohjeet määrittelevät pyydettävät tiedot.

Ylioppilastutkinnon kokelaat tuottavat koesuorituksia, jotka toimitetaan Ylioppilastutkintolautakunnalle arvostelua varten. 

Opinto- ja tutkintotietojen luovutuspalvelun (L 884/2017, 6 luku) kautta Ylioppilastutkintolautakunta saa Opetushallitukselta:

  • oppivelvollisuusrekisteristä tiedon kokelaan oikeudesta maksuttomaan koulutukseen (L 884/2017, luku 2a), ja
  • opetuksen ja koulutuksen valtakunnallisesta tietovarannosta tiedot kokelaasta, kokelaan hyväksytysti suorittamasta lukiokoulutuksen oppimäärästä tai muusta tutkinnon edellyttämästä tutkinnosta tai koulutuksesta, ja tiedon opinto-oikeuden maksuttomuudesta (L 884/2017, luku 2).

Väestötietojärjestelmästä saadaan tieto ylioppilastutkinnon kokelaan nimestä ja äidinkielistä.

8. TIETOJEN SÄÄNNÖNMUKAISET LUOVUTUKSET

Henkilötietojen luovuttamisesta ylioppilastutkintorekisteristä sovelletaan, mitä viranomaisten toiminnan julkisuudesta säädetään. (Tietosuojalaki 1050/2018, 28 §)

Lautakunta luovuttaa tutkintotulokset niiden valmistuttua kaikille lukioille yhtä aikaa. Tutkintotodistus ja kokeiden suorittamisesta annettava todistus luovutetaan siihen lukioon, johon kokelas on ilmoittautunut ylioppilastutkintoon.

Ylioppilastutkinnon tulokset ja kokelaan arvostellut koesuoritukset luovutetaan kokelaalle ja alle 18-vuotiaan kokelaan huoltajalle Opetushallituksen Opintopolku-palvelun kautta. (L 502/2019, 18 §)

Ylioppilastutkintolautakunta luovuttaa oppivelvollisuusrekisteriin (L 884/2017, luku 2a) tiedot, jotka ovat välttämättömiä oppivelvollisuuden ja oikeuden maksuttomaan koulutukseen todentamiseen.

Ylioppilastutkintolautakunta luovuttaa opiskelijavalintarekisteriin (L 884/2017, luku 4) tiedot, jotka ovat välttämättömiä valittaessa opiskelijoita yliopistolaissa tarkoitettuihin alempiin ja ylempiin korkeakoulututkintoihin johtaviin opintoihin ja ammattikorkeakoululaissa tarkoitettuun ammattikorkeakoulututkintoon ja ylempään ammattikorkeakoulututkintoon johtaviin opintoihin sekä yliopiston ja ammattikorkeakoulun harkinnan mukaan myös muuhun korkeakoulun tarjoamaan koulutukseen.

Ylioppilastutkintolautakunta luovuttaa rekisteristä salassapitosäännösten estämättä Tilastokeskukselle tilastojen laatimisen kannalta välttämättömät henkilötiedot, jotka kuvaavat henkilön koulutusta. (Tilastolaki 280/2004, 15 § kohta 5)

9. TIETOJEN SIIRTO EU:N TAI ETA:N ULKOPUOLELLE

Tietoja ei siirretä EU:n eikä ETA:n ulkopuolelle.

10. REKISTERIN SUOJAUKSEN PERIAATTEET

Rekisteri on suojattu asianmukaisin teknisin ja organisatorisin toimin GDPR 32 artiklan mukaisesti.

A) Manuaalinen aineisto

Manuaalinen aineisto säilytetään valvotussa tilassa. Manuaalisen tiedon käsittely tapahtuu valvotusti.

B) ATK:lla käsiteltävät tiedot

Ylioppilaskokeen aikana koetilan palvelimella olevat tiedot on suojattu salasanalla. Kokelaan kirjautuminen koetilan palvelimelle ja toimintaa kokeen aikana lokitetaan järjestelmän kehittämiseksi.

Lukioiden tutkintopalvelussa käsiteltävät tiedot on suojattu vahvalla tunnistautumisella. Kokeen jälkeen koetilan palvelimelta tutkintopalveluun siirrettävät tiedot (kokelaan henkilötiedot ja koesuoritukset) on suojattu vahvalla asymmetrisellä salausalgoritmilla. Kirjautumiset tutkintopalveluun ja toimintaa palvelussa lokitetaan käyttöehtojen vastaisen käytön valvomiseksi ja järjestelmän kehittämiseksi.

Kaikki Ylioppilastutkintolautakunnan virkamiesten rekisterin tunnukset ovat henkilökohtaisia ja ne on roolitettu rooleihin, jotka määrittelevät mitä tietoja ja toimintoja rekisterissä voi nähdä tai tehdä. Yksittäisen käyttäjän kirjautumiset/epäonnistuneet kirjautumiset pystytään tarvittaessa jälkikäteen selvittämään. Kaikki tietojen haku ja muokkaus lokitetaan. 

Rekisterin lokitiedot on suojattu muutoksilta ja pääsy niihin on rajattu. Rekisterin sisältämät henkilötunnukset on kryptattu. 

Käyttäjien yhteydet rekisteriin ja tiedonsiirto Opetushallituksen tietojärjestelmiin (ks. kohta 7) on salattu. 

Rekisterin varmuuskopiot on suojattu. Rekisterin tuotantoympäristössä on automatisoitu tietoturvapäivitysten jakelu.

11. REKISTERÖIDYN OIKEUDET

Rekisteröidyllä on oikeus tietää, käsitelläänkö häntä koskevia henkilötietoja vai ei. (GDPR, 15 artikla 1 kohta)

Rekisteröidyllä on oikeus vaatia Ylioppilastutkintolautakuntaa oikaisemaan epätarkat, vanhentuneet, puutteelliset tai muuten virheelliset henkilötiedot. (GDPR, 16 artikla) Lautakunta ryhtyy korjaamispyynnön vastaanotettuaan toimenpiteisiin ilman aiheetonta viivytystä. Jos lautakunta havaitsee virheitä käsittelemissään henkilötiedoissa, tiedot oikaistaan, vaikka rekisteröity ei olisi sitä vaatinutkaan.

Rekisteröity ei voi vaatia henkilötietojensa poistamista niin kauan kuin käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi tai kun henkilötietojen käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttöä varten. (GDPR, 17 artikla 3 kohdan b alakohta)

Rekisteröity voi pyytää henkilötietojensa käsittelyn rajoittamista. (GDPR, 18 artikla) Rajoittamisoikeutta voidaan soveltaa vain siltä osin kuin se ei estä rekisterinpitäjää noudattamasta laissa säädettyä velvoitetta.

Rekisteröidyllä ei ole oikeutta vastustaa henkilötietojensa käsittelyä, koska käsittely perustuu laissa säädettyihin rekisterinpitäjän velvoitteisiin sekä rekisterinpitäjälle säädettyyn julkisen vallan käyttöön. (GDPR, 21 artikla) Vastustamisoikeutta voidaan soveltaa vain sellaiseen käsittelyyn, joka ei perustu lakiin.

Opintopolku-palvelussa kokelaalle ja alle 18-vuotiaan kokelaan huoltajalle varataan tilaisuus tutustua arvosteltuun kirjalliseen tai muuten tallennettuun koesuoritukseen. (L 502/2019, 18 §)

Ylioppilastutkintolautakunnan päätökseen, jolla koesuoritus on arvosteltu, saa vaatia oikaisua siten kuin hallintolaissa säädetään. Oikaisuvaatimus on toimitettava Ylioppilastutkintolautakunnalle 14 päivän kuluessa siitä ajankohdasta, jolloin oikaisuvaatimuksen tekemiseen oikeutetulla on ollut tilaisuus saada tieto arvostelun tuloksesta ja arvosteluperusteiden soveltamisesta kokelaan koesuoritukseen. (L 502/2019, 22 §)

Rekisteröidyllä on oikeus saada tieto häntä koskevasta henkilötietojen tietoturvaloukkauksesta silloin, kun loukkauksesta todennäköisesti aiheutuu korkea riski hänen oikeuksilleen ja vapauksilleen. (GDPR, 34 artikla)

Jokaisella rekisteröidyllä on oikeus tehdä valitus väitetystä henkilötietojen käsittelyrikkomuksesta saattamalla asia tietosuojavaltuutetun käsiteltäväksi. (GDPR, 77 artikla)

12. TIETOJEN KÄYTTÖ AUTOMAATTISESSA PÄÄTÖKSENTEOSSA JA PROFILOINNISSA

Rekisterin sisältämiä tietoja ei käytetä profilointiin eikä tietoihin kohdisteta automaattista päätöksentekoa. Tekninen valvonnan tietoja käsitellään vain vilpin havaitsemistarkoituksessa, eikä sen tiedoilla tehdä automaattisia päätöksiä.